어영's

## 클라우드 환경의 10가지 보안 문제점과 해결책

클라우드 환경은 유연성과 확장성을 제공하지만 보안 위험 또한 증가합니다. 이 글에서는 클라우드 환경의 10가지 주요 보안 문제점과 해결책을 살펴봅니다.

1. 클라우드 도메인 취약점:

- 피싱 사이트: 공격자가 클라우드 도메인을 이용하여 피싱 사이트를 만들고 악성코드를 배포합니다.
- 해결책:
- ASM(Attack Surface Management) 또는 CWPP(Cloud Workload Protection Platform)을 사용하여 클라우드 도메인을 지속적으로 스캔합니다.
- 도메인 변경 사항에 대한 자동 점검을 위한 도메인 비교 정책을 만들고 운영합니다.

2. 도커 및 쿠버네티스 제어 취약점:

- 원격 API 사용: 도커 및 쿠버네티스는 원격 관리를 위해 API 서버를 사용합니다.
- 공격 시나리오:
- API 서버 IP 포트가 외부에 노출되면 해커 공격 가능성이 높아집니다.
- 해결책:
- CIEM(Cloud Infrastructure Entitlement Management)을 사용하여 클라우드 리소스 접근 권한을 철저히 제어합니다.
- CDR(Cloud Detection & Response) 기능을 사용하여 비정상적인 행위를 감지하고 차단합니다.

3. 클라우드 워크로드의 악성코드 및 CVE 취약점:

- 클라우드 워크로드: 가상 서버 인스턴스 컨테이너 등에서 실행되는 어플리케이션 DB 서비스
- 악성코드 및 CVE 취약점: 클라우드 워크로드의 모든 자산에 존재하는 보안 위험
- 해결책:
- SCA(Software Composition Analysis) 솔루션을 사용하여 워크로드의 취약점을 지속적으로 평가합니다.
- 워크로드에 대한 정기적인 패치 적용 및 업데이트를 수행합니다.

4. 클라우드 인프라 및 서비스 설정 오류:

- 기본값 사용: 많은 고객이 기본값으로 클라우드를 사용하여 보안 취약점을 노출합니다.
- 해결책:
- 보안 전문가의 도움을 받아 클라우드 인프라 및 서비스를 안전하게 설정합니다.
- 최소 권한 접근 원칙을 적용하여 공격 표면을 줄입니다.

5. 클라우드 시크릿 정보 노출:

- 시크릿 정보: 비밀번호 인증서 토큰 SSH 키 API 키 등
- 2021년 피해 규모: 약 6천조 원
- 해결책:
- 시크릿 정보를 안전하게 관리하기 위한 솔루션을 사용합니다.
- 접근 권한을 최소화하고 엄격하게 제어합니다.

6. 리눅스 플랫폼 악성코드:

- 리눅스 플랫폼: 클라우드의 기본 플랫폼
- 공격 시나리오:
- 공격자는 기존 윈도우 악성코드를 리눅스로 포팅하여 공격합니다.
- 해결책:
- 리눅스 서버 및 컨테이너를 위한 최신 보안 패치를 적용합니다.
- 리눅스 환경에 대한 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 설치합니다.

7. Docker Escape 취약점:

- 격리된 환경: 일반적으로 도커 컨테이너는 서로 격리되어 있습니다.
- 공격 시나리오:
- Docker Escape 취약점이 존재하면 공격자가 격리된 환경을 벗어나 다른 컨테이너나 호스트를 공격할 수 있습니다.
- 해결책:
- Docker 이미지를 신뢰할 수 있는 소스에서만 가져옵니다.
- Docker 컨테이너에 대한 정기적인 취약점 평가 및 업데이트를 수행합니다.

■ *8. 클라우드 데이터 유출

자세한 내용은 아래 링크(배너)를 클릭해주세요.
“클라우드 보안, 무엇을 어떻게 해야 하나”(4편)

ps -ef 명령은 너무 많은 프로세스들이 조회되어 찾기가 어렵다.

 

현재 메모리를 가장 많이 점유하고 있는 프로세스 10개만 보려면 아래와 같이 하면 된다.

ps -eo user,pid,ppid,rss,size,vsize,pmem,pcpu,time,cmd --sort -rss | head -n 11

-eo 다음에 나오는 항목들은 프로세스에 대한 정보 항목들이라서 필요한 것만 사용해도 된다.

 

여기에 조금 응용을 해서

특정 문구가 들어간 프로세스 목록을 찾으려면 아래와 같이 하면 된다.

ps -eo user,pid,ppid,rss,size,vsize,pmem,pcpu,time,cmd --sort -rss | head -n 11 | grep '찾고 싶은 문구'

 

head -n 11 을 빼면 찾고자 하는 문구가 들어간 모든 프로세스를 찾을 수 있다.

리눅스 계열에서도 크롬을 설치하고 실행할 수 있지만

root 계정인 경우에는 실행이 안 된다.

 

이 경우 수고를 한번 해야 한다.

 

vi /usr/bin/google-chrome-stable

 

또는 자주 쓰는 에디터로 열어서

맨 마지막 줄에 보이는

exec -a "$0" "$HERE/chrome" "$@"

여기에 --user-data-dir --test-type --no-sandbox 옵션을 추가해준다.

 

exec -a "$0" "$HERE/chrome" "$@" -user-data-dir --test-type --no-sandbox

-user-data-dir 만 추가해줘도 된다고 하니 본인에 맞게 사용하면 되겠다.

 

 

같은 이유로 네이버 웨일 브라우저에서는 아래 파일을 열어 같은 옵션을 넣어줘야 한다.

vi /usr/bin/naver-whale-stable

 

디스코드 웹훅을 이용해서 현재 리눅스 서버의 스토리지 사용량을 전달받는 스크립트를 만들어 보았다.

사실 오라클 클라우드에서 사용하려고 만들었다.

오라클 클라우드에서 plex 서버를 사용하는 경우 스토리지가 꽉 차서 먹통이 되는 것을 방지하기 위해 사용량을 자주 파악해야 하는 경우가 있다.

 

#!/bin/bash

## 디스코드 웹훅 URL - 이대로 쓰시면 안 됩니다. 본인 디스코드에서 생성하여 넣어주세요.
discord_webhook_url="https://discordapp.com/api/webhooks/...(생략).../...(생략)...."

## 주 사용 스토리지명 - df 명령어로 확인할 수 있음 - 본인한테 맞는 스토리지명으로 수정
storage="/dev/sda1"

## 현재 서버 IP를 가져와 변수(my_ip)에 저장
my_ip=$(curl -s http://ifconfig.me)

## df 명령어를 실행하면 나오는 정보 중 주 사용 스토리지의 정보 중 % 앞 부분만 변수(storage_line)에 저장
storage_line=$(df | grep $storage" " | cut -d "%" -f1)

## 뒤에서 두자리만 가져와 변수(used_rate)에 저장 - 100% 이면 00을 가져옴
used_rate="${storage_line:(-2)}"

## 사용량이 100% 일때는 used_date 가 00 이므로 100으로 바꿔줌
if [ $used_rate -eq "00" ]
then
	used_rate="100"
fi

## 날짜표시
timestamp=`date "+%Y년 %m월 %d일 %H시 %M분"`

## 디스코드 알림 메시지 (시간 - IP - 스토리지 사용률 : n%)
msg="${timestamp} - IP : ${my_ip} - 스토리지 사용률 : ${used_rate}"

## curl 명령을 사용하여 디스코드 웹훅 전송
curl -X POST -H "Content-Type: application/json" \
-d "{ \"content\":\"$msg%\" }" \
$discord_webhook_url

 

이걸 sh 파일로 저장해서 crontab -e 에 저장해서 스케쥴을 걸어서 사용하면 편하다.

 

0 */1 * * * ~/discord_send_저장공간사용량.sh

 

이렇게 하면 1시간에 1번씩 사용량을 디스코드로 보낸다